En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Este artículo es una lista consolidada de preguntas y respuestas habituales. Está destinada a usuarios que son nuevos en el producto, pero que pueden resultar útiles para todos los usuarios.
NOTAS:
Este artículo incluye preguntas relacionadas con las unidades DE y DE Opal en concreto.
Para ver el resto DE preguntas frecuentes que cubren compatibilidad, instalación/ampliación, configuración y funcionalidad general, consulte KB79784.
Actualizaciones recientes de este artículo:
Fecha
Actualización
26 de febrero de 2018
Se ha implementado la expansión y contracción del diseño.
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
¿Qué es la unidad opal o Opal?
Opal
Opal es el nombre de una especificación relacionada con las unidades de cifrado automático desarrolladas por un organismo de estándares denominado Trusted Computing Group. Opal es un estándar o una especificación que detalla los comandos a los que debe responder la unidad y el comportamiento estándar. El estándar se ha creado y ratificado por el grupo de trabajo de almacenamiento del Trusted Computing Group (TCG).
Unidad Opal
Una unidad Opal es un disco duro independiente (HDD) autónomo de autocontenido que cumple con el estándar de TCG Opal. La unidad siempre está cifrada, pero se puede bloquear o no. Además de los componentes estándar de un disco duro, una unidad Opal contendrá componentes adicionales como, por ejemplo, un procesador criptográfico incorporado que realiza todos los datos de cifrado/descifrado necesarios en el disco duro. Además de los medios de rotación regulares (HDD), SSDs también puede admitir el estándar de TCG Opal. Las unidades Opal son una unidad con cifrado automático, pero no son el único tipo. También existen otras unidades de autocifrado patentadas en el mercado.
NOTA: TCG es una organización sin ánimo de lucro formada para desarrollar, definir y promover estándares de la industria abiertos, neutrales para el proveedor, para los bloques de creación y las interfaces de software de confianza en varias plataformas. La unidad de cifrado automático compatible con TCG es la misma que la unidad Opal.
¿Todos los usuarios de mi organización necesitan una unidad Opal?
No. El cifrado de software será suficiente para la mayoría de los usuarios. La mayoría de los trabajadores de productividad no advertirán ni se verán afectados por el cifrado de software. Con DE 7.1, el impacto del cifrado de software en los sistemas con CPU de Intel que admiten AES-NI es despreciable, lo que hace que el cifrado de software sea comparable al rendimiento de las unidades Opal.
¿Qué modelo de amenazas realiza una dirección de unidad Opal?
El caso de uso principal es la pérdida o el robo de portátiles o equipos de sobremesa. Se tratan amenazas similares como software Full Disk Encryption y está diseñado para proteger los datos en reposo.
¿Qué casos de uso son más adecuados para unidades Opal?
Las unidades Opal son adecuadas para usuarios que requieran una E/S de disco extremadamente alta (aplicaciones sensibles al rendimiento). Algunos ejemplos de estos usuarios son desarrolladores de software, editores de vídeo e ingenieros aeronáutica. Probablemente, estos usuarios también utilizarán SSDs en lugar de girar HDD.
¿Preservaba una unidad SSD Opal el rendimiento de una SSD sin comprometer la seguridad?
Sí. Para los usuarios más confidenciales, una implementación de SSD de una unidad Opal puede conservar la velocidad y el rendimiento de una SSD, a la vez que conserva toda la seguridad y el cifrado de una unidad Opal. Sin embargo, debido a que una unidad Opal siempre está cifrada por el procesador criptográfico integrado en la placa, es difícil determinar exactamente cuál es la degradación del rendimiento (si existe) que el procesamiento criptográfico incorporado lo cobra.
¿Cuál es la experiencia propia DE una unidad Opal?
Las tareas cotidianas de un administrador son exactamente las mismas, independientemente de si el dispositivo tiene una unidad opal o un disco duro normal. La misma directiva, el método de despliegue y la administración son iguales. El proceso de recuperación varía ligeramente, pero los pasos que realiza un administrador en un escenario de recuperación son los mismos. Para obtener más información acerca de la experiencia con Opal, consulte la sección "experiencia con Opal" de este artículo.
¿DE ayuda en las situaciones de recuperación con una unidad Opal?
Todos los mecanismos de recuperación estándar están disponibles para los usuarios y los administradores, independientemente de si el usuario final tiene una unidad opal o un disco duro normal.
¿Se admitirá el soporte de otros tipos de unidades de cifrado automático (SED)?
No. En este momento no hay planes de admitir otros tipos de SED que no sean los que implementan el estándar de TCG Opal.
¿Por qué sigue siendo necesario si una unidad Opal controla todo el cifrado?
Las unidades Opal deben administrarse. Hasta que se gestiona una unidad Opal, se comporta y responde como si se tratara de un disco duro normal. La combinación de y ePO proporciona una funcionalidad de administración, generación de informes y recuperación de gran versatilidad que son fundamentales para un administrador. DE proporciona valor mediante la instalación de un entorno previo al arranque seguro que desbloquea la unidad Opal, realiza la administración de usuarios de Opal, garantiza que la Directiva de cifrado de la organización se implementa de forma continua y, en caso de pérdida, prueba que el dispositivo estaba cifrado la última vez que se sincronizó con ePO. Además, en el caso de las organizaciones que dispongan de una mezcla de unidades Opal y HDD normales, es importante que un administrador pueda utilizar una única herramienta para administrar, implementar directivas, informar sobre dispositivos y evaluar la exposición de riesgo potencial de la empresa; DE proporciona esa herramienta. DE también ofrece la ventaja de que puede admitir potencialmente muchos más usuarios que una unidad Opal no administrada.
¿Cómo McAfee detallar el soporte para unidades Opal?
En el artículo siguiente se detallan las funciones de compatibilidad con unidades Opal de distintos fabricantes. También incluye detalles sobre cómo certificar automáticamente una unidad Opal en caso de que la unidad no se encuentre en la lista compatible. Para obtener detalles, consulte KB81136.
¿Admitirá la compatibilidad de las unidades Opal en todos los sistemas operativos compatibles?
No. En este momento, no hay planes para admitir Opal en otros sistemas operativos. Los detalles de soporte actuales son los siguientes:
DE 7.x Admite unidades Opal en Windows 7 SP1 y versiones posteriores, y Windows 8.x en los modos heredado (BIOS) y UEFI.
DE 7.x Admite unidades Opal en Windows 8.x en modo UEFI, en los sistemas con certificación Windows 8 y en los que el OEM haya incluido el protocolo UEFI utilizado para las comunicaciones seguras.
Los sistemas UEFI en los que el OEM no ha incluido el protocolo seguro de comunicaciones no son compatibles, ya que no existe ningún mecanismo que permita que el entorno DE prearranque se comunique con la unidad. El cifrado de software se utilizará automáticamente en este caso.
¿Por qué es necesario un Service Pack 1 como mínimo para Windows 7?
Algunas unidades Opal son unidades 512e; es decir, en realidad se trata de unidades con sectores con un tamaño de 4096 bytes, pero que emulan unidades de sectores de 512-bytes antiguas. Windows 7 SP1 incluye correcciones de controladores cruciales que permiten que estas unidades 512e funcionen correctamente.
¿Qué ocurre si un usuario intenta activar de en una unidad Opal mientras se ejecuta un sistema operativo no compatible?
Si DE detecta una combinación incompatible o no admitida de un sistema operativo y una unidad Opal, continuará con el proceso de activación, pero utilizará el cifrado de software en lugar del uso de la funcionalidad nativa Opal. El sistema se mostrará con el cifrado de software en ePO.
¿Se admitirán las unidades Opal en Mac OS X?
No. Hasta que Apple agregue soporte a su producto de cifrado de FileVault.
¿Necesita un administrador administrar los equipos con unidades Opal de forma distinta a las que tienen un disco duro estándar?
No. Los administradores no tienen que tratar las unidades Opal de forma distinta a la unidad de disco duro normal. La misma directiva se puede utilizar en equipos portátiles con unidades Opal y portátiles con disco duro normal.
En la Directiva DE, existe un orden de prioridad para los proveedores de cifrado. ¿Qué hace?
Esto permite al administrador personalizar la forma en que el cliente inteligente implementará la Directiva en un cliente. Si el proveedor de cifrado Opal tiene mayor prioridad que el proveedor de cifrado de software, el cliente DE se buscará primero en una unidad Opal. Si todas las unidades conectadas admiten Opal, utilizará la funcionalidad Opal para implementar la Directiva de cifrado. Si las unidades no cumplen estos criterios, pasa al siguiente proveedor de cifrado de la lista, lo que significa que utilizará el cifrado de software para implementar la Directiva de cifrado. Al cambiar el orden de prioridad y convertir el cifrado de software en la mayor prioridad, un administrador puede especificar que todos los equipos utilicen el cifrado de software independientemente de si hay una unidad opal o un disco duro normal en el equipo.
IMPORTANTE: Cuando el equipo está equipado con una unidad Opal, las activaciones offline utilizan el cifrado Opal en primer lugar. Las preferencias de OPAL están codificadas de forma rígida en los paquetes de activación sin conexión y no utilizan la configuración de directivas personalizada.
¿El despliegue es distinto en una unidad Opal?
No. Es exactamente el mismo, independientemente de si el sistema cliente tiene una unidad opal o un disco duro normal.
¿Cómo puede un administrador o un usuario saber si ¿un cliente utiliza la funcionalidad opal o el cifrado de software?
Gestor
Examine el equipo en ePO para ver qué proveedor de cifrado implementa la Directiva de cifrado. Si indica Opal, entonces utiliza la funcionalidad Opal.
Usuario\Plantillas
Un usuario no puede determinar directamente esto, pero puede estar implicado en la lista de volúmenes o unidades cifradas en la ventana del monitor de estado de Endpoint Encryption.
¿El usuario final verá cualquier diferencia en el arranque previo en función de si tiene un disco duro estándar o una unidad Opal?
No. El aspecto del arranque previo es exactamente el mismo. Un usuario final puede no reconocer completamente el hardware que está alimentando el cifrado de su equipo.
¿Cuánto tiempo se tarda en pasar de un estado no cifrado a cifrado con una unidad Opal?
Aproximadamente un minuto. Esto se debe a que la unidad técnicamente ya está cifrada. El tiempo de descifrado en estado cifrado es el tiempo necesario para activar los mecanismos nativos de bloqueo de la unidad Opal e instalar el entorno previo al arranque.
¿Ha conocido alguna vez la clave que cifra los datos?
No. La clave de cifrado nunca sale de la unidad Opal.
¿Cómo funciona la recuperación?
Los mismos procedimientos y herramientas DE recuperación se pueden utilizar para llevar a cabo una recuperación en una unidad Opal y en un disco duro normal. La función destech se actualiza para saber cómo desbloquear una unidad Opal, aunque no existe la posibilidad de descifrarla, ya que la unidad Opal nunca distribuye la clave de cifrado y nunca descifra el disco. La destech simplemente desbloquea el disco para permitir el arranque del sistema operativo.
¿Qué ocurre con el software forense de otras empresas? ¿Pueden funcionar con una unidad Opal?
McAfee ha estado trabajando con empresas que proporcionan software forense y nuestra interacción con ellos permanece en gran medida. En lugar de las aplicaciones que solicitan la clave de cifrado, solicitarán las credenciales necesarias para desbloquear la unidad. Tenga en cuenta que no es posible realizar una copia de nivel de sector de una unidad Opal y realizar el descifrado de esa copia de nivel de sector mediante la clave de cifrado, ya que la clave de cifrado no se puede conocer nunca.
¿Se cifra siempre una unidad Opal?
Sí. Independientemente de si la unidad está bloqueada o desbloqueada, siempre está cifrada. No es posible tener una unidad Opal descifrada.
NOTA: La clave de cifrado de disco (DEK) no se puede leer nunca desde la unidad. DE solo mostrará dos Estados válidos desbloqueados y bloqueados.
¿Cuál es la diferencia entre bloqueado y desbloqueado?
Técnicamente, la diferencia es el acceso a la clave de cifrado por parte del procesador de cifrado de la unidad.
-Si el disco está desbloqueado, el procesador de cifrado incorporado tiene acceso a la clave de cifrado de disco y la unidad se comporta exactamente igual que un disco duro normal. Un usuario final no podría identificar la diferencia en este estado entre una unidad Opal y un disco duro normal.
-Si el disco está bloqueado, la clave de cifrado de disco estará protegida y se requerirá un entorno previo al arranque para desbloquear el disco antes de que se pueda acceder a los datos y se permita el arranque del sistema operativo. Tenga en cuenta que la clave de cifrado de disco se mantiene interna en la unidad; no es posible leerlo desde la unidad.
¿Cuál es el estado predeterminado de una unidad Opal?
Cuando recibe por primera vez una unidad Opal, el estado se desbloquea. Se comportará y responderá exactamente igual que un disco duro normal. Debe bloquear la unidad de forma explícita mediante la activación del mecanismo de bloqueo nativo de la unidad. Una forma de hacerlo es utilizar DE para administrar la unidad.
¿Cómo puede llevar la unidad de forma desbloqueada a un estado bloqueado?
Una aplicación como DE, que tiene un entorno previo al arranque, tendrá que realizar los pasos necesarios para activar el mecanismo de bloqueo nativo de la unidad Opal e instalar el entorno previo al arranque. Una vez bloqueada la unidad, se requiere el entorno previo al arranque para desbloquear la unidad antes de que el sistema operativo pueda iniciar su proceso de arranque. Sin un entorno previo al arranque, no existiría nada para desbloquear la unidad y permitiría el arranque del sistema operativo.
Cuando se desbloquea una unidad bloqueada, ¿cuánto tiempo permanece desbloqueada?
La unidad Opal permanecerá desbloqueada hasta el próximo ciclo de alimentación. Esto significa que, una vez que se desbloquea una unidad Opal, permanecerá desbloqueada hasta que se apague el dispositivo o se mueva a otro estado de energía en el que la unidad Opal pierda energía. Sin embargo, en DE, para garantizar la misma experiencia del usuario que con el cifrado DE software, la unidad se bloqueará explícitamente en un reinicio.
¿Puedo tomar una imagen de disco de la unidad y descifrarla con una herramienta como, por ejemplo, with Case?
No. La clave se crea en la unidad y nunca sale de la unidad. No es posible que las aplicaciones u otros componentes de hardware pidan a la unidad sus claves, por lo que la clave no está disponible para su uso en herramientas como, por ejemplo, en caso.
¿Qué hago si la unidad Opal está bloqueada y he olvidado mi contraseña?
DE dispone de mecanismos DE recuperación para ayudarle.
¿Puede restaurar una unidad Opal a su estado predeterminado de fábrica?
Hay un mecanismo ratificado de TCG para que se produzca un proceso de reversión, pero se debe conocer la credencial de la unidad principal. Algunos fabricantes de unidades incluyen un proceso de reversión no de TCG adicional en el que no se conoce la credencial principal (lo que se conoce como reversión de PSID). Si la unidad no admite una reversión de PSID y se bloquea (y, por alguna razón, las funciones de recuperación normal no funcionan o la unidad no responde), la unidad deja de funcionar, se pierden los datos y es necesario adquirir una nueva unidad Opal. Si la unidad admite una reversión de PSID, puede devolverla a un estado de fábrica predeterminado incluso sin tener que desbloquear primero la unidad, pero se perderán todos los datos de la unidad. Hay herramientas disponibles para ello (no es un caso de uso admitido en).
¿Qué sucede si se produce un error de hardware físico y la unidad Opal deja de responder a las solicitudes de desbloqueo?
En esta situación, la unidad ahora es completamente no funcional. No hay nada que pueda hacer para acceder a los datos. Tenga en cuenta los datos perdidos y compre una nueva unidad Opal. Esto se debe a que no conoce la clave de cifrado de disco real; no se puede leer la clave de cifrado de disco de la unidad.
¿Es el arranque previo de Opal distinto del arranque previo para cifrado de software?
Sí y no. El arranque previo necesitará saber cómo desbloquear una unidad Opal para permitir el arranque del sistema operativo, pero el resto del arranque previo se parece y se comporta igual que con el cifrado de software. De hecho, gran parte del código previo al arranque se comparte entre el software y las aplicaciones de arranque previo de Opal.
¿Existen varias versiones del estándar Opal?
Sí. Lo que actualmente se implementa es una versión 1.0. El TCG también se ha publicado 2.0. Compatibilidad con la versión Opal v de TCG2.0 se está considerando que la especificación se puede incluir en una versión futura.
¿Una unidad Opal tiene un concepto de usuarios?
Sí. Una vez bloqueada la unidad, se requiere un nombre de usuario y un código PIN para desbloquear la unidad.
¿Dónde se mantienen los usuarios?
Cada usuario es específico y local de cada unidad Opal. La aplicación que administre la unidad Opal también tendrá que administrar los usuarios de Opal.
¿Es un usuario Opal igual que un usuario o un usuario DE dominio Windows?
No. Las tres son entidades completamente independientes.
¿Existe un número máximo de usuarios de Opal?
Sí. Solo se puede asignar un número reducido de usuarios de Opal a una sola unidad Opal. Las unidades Opal de distintos fabricantes varían en cuanto al número máximo de usuarios que pueden admitir.
¿Qué ocurre si deseo asignar más usuarios a un dispositivo de los disponibles como usuarios de Opal?
La arquitectura DE permite asignar tantos usuarios como sea necesario a la unidad Opal, independientemente de la limitación técnica de los usuarios de Opal en el dispositivo. Esta complejidad se oculta al administrador y les permite asignar usuarios al dispositivo de la misma forma que si se tratase de un disco duro normal. La recomendación y las limitaciones para el número de usuarios asignados a un dispositivo sigue siendo constante, independientemente del tipo de unidad de disco duro que se utilice.
¿Puede una unidad Opal tener más de una clave de cifrado de disco?
Sí. Existe una sección de la especificación Opal que se encarga del direccionamiento de bloque lógico (LBA), pero también se puede hacer referencia a él como rangos locales.
¿Cuál es el intervalo global?
El intervalo global contiene todos los sectores del disco que no se encuentran en un intervalo local definido (véase a continuación).
¿Qué es un intervalo local?
Un intervalo local es un intervalo contiguo de sectores en los que cada uno de ellos tendrá una clave de cifrado distinta. Estos intervalos se pueden bloquear o pueden permanecer desbloqueados. Como ejemplo, un intervalo local se puede aplicar a una partición, pero un intervalo no tiene que asignarse de forma exacta a una partición.
¿Por qué utilizarían los intervalos locales?
Si desea que una parte específica del disco siempre esté disponible y sea accesible independientemente de si el disco está en estado bloqueado o desbloqueado.
Si un intervalo local es un intervalo contiguo de sectores, ¿qué sucede cuando se define un nuevo intervalo?
Se genera automáticamente una nueva clave de cifrado para el nuevo intervalo. Si la unidad Opal admite el recifrado, los datos se descifran con la clave antigua y se vuelven a cifrar con la nueva clave. El nuevo cifrado es una parte opcional del estándar y, en este momento, creemos que ninguna de las unidades es compatible. Si la unidad no admite el recifrado, habrá perdido todos los datos que había anteriormente en ese intervalo, ya que se ha borrado criptográficamente.
Si utilizo una herramienta de partición, ¿podría perder todos los datos si utilizo intervalos locales?
Sí, es una posibilidad.
¿Cuántos intervalos locales puede haber?
El estándar Opal especifica al menos cinco (incluido el intervalo global).
¿Permite el soporte de intervalos locales para especificar si las particiones están bloqueadas o no?
No.
¿Permite la compatibilidad con S3 con unidades Opal?
Sí. S3 es un estado de energía, comúnmente conocido como espera, suspensión o suspensión en RAM. Un sistema en estado S3 parece estar desactivado. La CPU no tiene alimentación, la RAM se encuentra en modo de actualización lenta y la fuente de alimentación se encuentra en un modo de consumo reducido.
Las unidades Opal se bloquean cuando no tienen alimentación. ¿se trata de un problema?
Sí. Es difícil reiniciar Windows cuando la unidad está bloqueada y Windows no dispone de una forma de desbloquearla. El TCG no tiene una solución común y acordada con el problema de S3.
Dado que S3 funciona con DE, ¿es una implementación propia de la compatibilidad con S3?
Sí.
¿Admite un modo mixto?
Sí. Un modo mixto se define como una situación en la que un equipo tiene más de una unidad de disco duro física y también tiene una combinación de unidades Opal y disco duro normal. El mínimo común denominador es siempre cifrado de software. En caso de duda, la funcionalidad de cifrado de software se utilizará para cifrar tanto la unidad Opal como el disco duro normal.
¿Qué sucede si tengo un Opal y una unidad de disco duro normal en el mismo equipo? ¿Se utilizará la funcionalidad nativa Opal en la unidad Opal y el cifrado de software para el disco duro normal?
No. Esto es lo que se describe como un entorno de modo combinado. DE necesita tomar una decisión sobre el modo en que va a implementar la Directiva de cifrado en el equipo. De forma predeterminada, el cifrado de software se seleccionará automáticamente si tiene unidades Opal y no Opal en el mismo equipo.
¿Puede utilizar el cifrado de software en una unidad Opal?
Sí. Hasta que se haya activado el mecanismo de bloqueo nativo de una unidad Opal, una unidad Opal responde y se comporta exactamente igual que un disco duro normal. Nada impide que un administrador cifre la unidad mediante el cifrado de software en lugar de utilizar la funcionalidad nativa de la unidad Opal. Técnicamente hablando, los datos se cifrarán dos veces: una vez por el cifrado de software y, en segundo lugar, por la unidad Opal, pero como la unidad no se bloqueará, el cifrado Opal será transparente.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.